SentinelOne ontdekt malware-campagne gericht op macOS-ontwikkelaars

Misbruik via de Run Script-feature in Apple’s Xcode IDE

| SentinelOne | 2 min | 30 maart 2021 14:27
Copyright: SentinelOne
SentinelOne, leverancier van autonome endpoint-bescherming, heeft een malware-campagne ontdekt die zich richt op macOS-ontwikkelaars. Door misbruik te maken van de Run Script-feature in Apple’s Xcode IDE werden nietsvermoedende MacOS-ontwikkelaars geïnfecteerd via gedeelde Xcode Projects.

Het kwaadaardige XcodeSpy-project is een gemanipuleerde versie van een legitiem, open-source project dat beschikbaar is op GitHub. De XcodeSpy-versie is echter subtiel gewijzigd om een onbekend Run Script uit te voeren wanneer het build target van de developer wordt gelanceerd. Vervolgens wordt een aangepaste variant van de EggShell-backdoor geïnstalleerd op de macOS-computer van de software-ontwikkelaar, samen met een persistence-mechanisme. Met behulp van deze achterdeur wordt toegang verschaft tot de microfoon, camera en het toetsenbord van het slachtoffer. Ook konden cybercriminelen via deze weg bestanden uploaden en downloaden.

De aanval past bij de opkomst van twee nieuwe, verontrustende trends: het targeten van software-ontwikkelaars en het gebruik van supply-chain-aanvallen om grote groepen klanten te infecteren. De XcodeSpy-aanval is vergelijkbaar met de Noord-Koreaanse aanval die eerder dit jaar door Google TAG werd ontdekt. Deze aanval richtte zich op security-onderzoekers en -developers door middel van gedeelde Visual Studio-projecten die bedoeld waren om een kwaadaardige DLL te laden.

Omdat de XcodeSpy-infectievector ook kan worden gebruikt door andere threat actors, adviseert SentinelOne alle MacOS-ontwikkelaars die Xcode gebruiken voorzichtig te zijn bij het adopteren van gedeelde Xcode-projecten. Voor meer informatie en de technische analyse, lees dit blog: https://labs.sentinelone.com/new-macos-malware-xcodespy-targets-xcode-developers-with-eggshell-backdoor/.

Hoe vind je dit artikel?


Geef jij de eerste rating?

Content op basis van interesse of taal liever niet meer zien? Ga dan naar settings om eenvoudig je voorkeuren in te stellen.

Deel dit item
Over SentinelOne
SentinelOne (NYSE: S) levert autonome endpoint-bescherming middels een enkelvoudige agent die preventie, detectie, respons en opsporings-functionaliteit combineert. Het SentinelOne platform is ontwikkeld met het oog op zeer hoog gebruiksgemak en bespaart gebruikers tijd dankzij de inzet van AI om automatisch en in realtime dreigingen binnen het bedrijf en in de cloud te elimineren. Daarnaast is het de enige oplossing die volledig inzicht biedt van edge tot cloud over het hele netwerk.
Meer over SentinelOne
Disclaimer
Deze content is verkregen via óf is gebaseerd op een externe bron en valt daarmee buiten de verantwoordelijkheid van de redactie. Als de content een (gedeeltelijke) vertaling is van het origineel, dan is bij eventuele verschillen in betekenis de originele content leidend.
20200707165104.png
Meer meisjes en vrouwen in bèta, techniek en IT
20200608191257.png
Dé leukste website op het gebied van zorg in Nederland
20191030103431.png
Conference by app developers, for app developers!
20191030101402.jpg
De grootste Nederlandse site over Android
20191030100036.png
Voor professionals met passie voor digitale revolutie!
20191029200614.jpg
Drive value with data
© 2019-2022, alle rechten voorbehouden.
TechVisor
Het vizier op de tech industrie.